Sistemlerde Zararlı Kodların Kullanımının Engellenmesi

[burajan]

Sistemlere zarar verilmek için bazı kodlar kullanılır. Bu kodlar "<" ">" vb. birçok kod. Birçok hazır sistemlerde bu kodların kullanımı engellenmiştir. Eğer sizin sisteminizde yoksa aşağıdaki gibi işlem yaparak bunu engelleyebilirsiniz.

Aşağıya ekleyeceğim kodu veri işlemleri yapılacak her sayfaya eklemelisiniz yada include yöntemini kullanabilirsiniz. Eklemeniz gereken kod:

Kod: [Seç]

<% Function Temizle(strVeri)
     If strVeri = "" Then Exit Function
     strVeri = Replace(strVeri, "<", "&lt;")
     strVeri = Replace(strVeri, ">", "&gt;")
     Temizle = strVeri
End Function %>Bu yukarıdaki kodda belirtilen "<" ">" kodun zararlı kullanımı engellemektedir.

Fakat birde şu işlemi yapmalısınız. Veri işlemleri yapılan sayfa yani formdan alınan bilgilerin kontrol edilip veritabanına kaydedildiği sayfayı düzenlemeniz gerekir. Bir veri formdan şu kodla alınmaktadır:

Kod: [Seç]

<% Request.Form("Deneme") %>Formdan alınan verideki karakterleri engellemek istiyorsanız yukarıdaki kodu şu şekilde değiştirmelisiniz:

Kod: [Seç]

<% Temizle(Request.Form("Deneme")) %>
Bu yukarıdaki işlemle zararlı kodları engellemiş olursunuz.

[sempatiks]

. Veri işlemleri yapılan sayfa yani formdan alınan bilgilerin kontrol edilip veritabanına kaydedildiği sayfayı düzenlemeniz gerekir.   derken hangi asp dosyasından bahsediyorsun tam anlamadım...   bide o zararlı kodları forum kısmında mı kullanıcz

[burajan]

Orada bahsetmek istediğim; verilerin kaydedildiği sayfa. Mesela kaydet.asp dosyasında formdan alınan bilgilerin kaydedildiğini varsayarsak bu sayfaya eklemeniz gerekir.
Forum derken; eğer kendin bir forum yazdıysan bunu yapmalısın. Yada bu güvenlik önlemi alınmayan forum kullanıyorsan bunu yapmalısın.

[vampir]

Bu kodlar bir web sitesine nasıl zarar veriyor? Mesela sitemizde kullanıcının doldurması için bir form yarattık. Bu formu gonder.asp ile database dosyasına gönderiyoruz. Kullanıcı o form diyalog kutularına mı zararlı kod yazarak bize zarar veriyor? Amatör bir tasarımcı olarak sizden bu konuda bilgi rica ediyorum.

[AdmiN]

Bazı zararlı kodlar var.Bu kodlarla siteniz başka bir siteye yönlendirilebilir, site hata mesajları verdirerek sitenin veritabanına ulaşıp kayıt girilebilir , silinebilir veya değiştirilebilir.Böyle bir kod kontrolü yaparak çok rastlanan Sql injection saldırısına karşı bir önlem almış olursun.

[tago]

Sistemlere zarar verilmek için bazı kodlar kullanılır. Bu kodlar "<" ">" vb. birçok kod. Birçok hazır sistemlerde bu kodların kullanımı engellenmiştir. Eğer sizin sisteminizde yoksa aşağıdaki gibi işlem yaparak bunu engelleyebilirsiniz.

Aşağıya ekleyeceğim kodu veri işlemleri yapılacak her sayfaya eklemelisiniz yada include yöntemini kullanabilirsiniz. Eklemeniz gereken kod:

Kod: [Seç]

<% Function Temizle(strVeri)
     If strVeri = "" Then Exit Function
     strVeri = Replace(strVeri, "<", "&lt;")
     strVeri = Replace(strVeri, ">", "&gt;")
     Temizle = strVeri
End Function %>Bu yukarıdaki kodda belirtilen "<" ">" kodun zararlı kullanımı engellemektedir.

Fakat birde şu işlemi yapmalısınız. Veri işlemleri yapılan sayfa yani formdan alınan bilgilerin kontrol edilip veritabanına kaydedildiği sayfayı düzenlemeniz gerekir. Bir veri formdan şu kodla alınmaktadır:

Kod: [Seç]

<% Request.Form("Deneme") %>Formdan alınan verideki karakterleri engellemek istiyorsanız yukarıdaki kodu şu şekilde değiştirmelisiniz:

Kod: [Seç]

<% Temizle(Request.Form("Deneme")) %>
Bu yukarıdaki işlemle zararlı kodları engellemiş olursunuz.

bu kodları asp dosyamızın hangi bölümüne ekleyebiliriz. teşekkürler.

[AdmiN]

Bu kodları kayıt yapacak sayfaya kayıt kodlarının üstüne yapıştırabilir, ya da bir dosyaya ekleyip dosyayı kayıt yapacak sayfanın en üstüne include edebilirsiniz.